Postman 2025 State of the API raporu, kurumsal API trafiğinin %72’sinin REST, %18’inin GraphQL ve %10’unun webhook ile event-driven protokoller üzerinden aktığını ortaya koyuyor. Aynı raporda 2026 itibariyle ortalama bir orta ölçekli SaaS ürünü 38 farklı dış API entegrasyonu yönetiyor; yanlış protokol seçimi ürün lansmanını 4-6 hafta erteleyebiliyor ve aylık 8.000-12.000 USD bandında ek altyapı maliyeti yaratıyor. Bunun üzerine Cloudflare 2025 Application Services raporu, dünya genelinde günlük 3,1 trilyon API çağrısının %42’sinin gateway katmanı arkasından geçtiğini, edge cache kullanan REST endpoint’lerinde p95 latency’nin 84 ms’den 19 ms’ye düştüğünü gösteriyor. Doğru API stratejisi artık tek başına teknik bir karar değil; doğrudan müşteri deneyimi, geliştirici verimliliği ve toplam sahip olma maliyeti üzerinde kaldıraç etkisi yaratan kurumsal bir mimari karardır.
Bu rehber, REST, GraphQL, gRPC, webhook, WebSocket ve Server-Sent Events protokollerini mimari özellikleri, performans profili, güvenlik gereksinimleri, gateway katmanı, dokümantasyon araçları ve toplam maliyet ekseninde karşılaştırıyor. OpenAPI 3.1, Apollo Federation, Kong, Tyk, OAuth 2.1, mTLS, HMAC imzalama, Pact contract testing ve dead-letter queue mimarilerini somut karar matrisleri, sayısal benchmark’lar ve 12 aylık yol haritası ile ele alıyoruz. Yazının sonunda hangi senaryoda hangi protokolü neden seçeceğinizi, hangi gateway’i neden tercih edeceğinizi ve hangi sorunlardan kaçınmanız gerektiğini somut bir karar setine indirgeyebileceksiniz.
REST API: Olgun Standart ve OpenAPI 3.1 Disiplini
REST, HTTP semantiği üzerine kurulu, kaynak (resource) odaklı bir mimari stildir. Roy Fielding’in 2000’de yayımladığı doktora tezinden bu yana stateless yapı, cacheability, uniform interface ve katmanlı sistem prensipleriyle tanınır. 2026’da REST hâlâ kurumsal API trafiğinin %72’sini taşır; bunun temel nedeni HTTP altyapısının (CDN, proxy, gateway, browser) REST ile doğal uyumudur. Cloudflare 2025 verilerine göre HTTP cache uyumlu GET endpoint’leri ortalama %71 trafik tasarrufu sağlıyor; bu da hem origin maliyetini hem de p95 latency’yi belirgin biçimde düşürüyor.
OpenAPI 3.1, REST sözleşmesi (contract) için fiili standart hâline gelmiş durumda. JSON Schema 2020-12 uyumu sayesinde aynı şema dosyası hem doküman üretimi (Swagger UI, Redoc, Stoplight Elements) hem mock server (Prism) hem de client SDK üretimi (OpenAPI Generator, Kiota) için kullanılabilir. SmartBear 2025 State of API raporuna göre kurumsal REST API ekiplerinin %78’i OpenAPI 3.x kullanıyor; %46’sı geliştirme akışını design-first (önce şema, sonra kod) yöntemiyle yönetiyor. Design-first yaklaşım, frontend ve backend ekiplerinin paralel ilerlemesini sağlayarak ürün döngüsünü ortalama %22 hızlandırıyor.
- Stateless yapı: Her istek bağımsız işlenir; horizontal scaling ve cache stratejisi sade olur.
- HTTP cache: ETag, Last-Modified, Cache-Control headers’i ile CDN, browser ve gateway katmanında %60-80 trafik tasarrufu.
- Versionlama: URL path (v1, v2), Accept header (vnd.api+json;v=2) veya custom header üzerinden yönetilebilir.
- Over/under-fetching sorunu: Tek tip response, bazı istemcilerde gereksiz alan, bazılarında ek istek gerektirir; mobil veri planlarında 2-3 kat fazla yük oluşturabilir.
- OpenAPI 3.1 + JSON Schema 2020-12: Contract-first geliştirme, otomatik SDK üretimi ve sözleşme tabanlı test (contract testing) için temel altyapı.
GraphQL: Tek Endpoint, İstemci Odaklı Esneklik
GraphQL, Facebook’un 2012’de mobil uygulamasının over-fetching sorununu çözmek için tasarladığı, schema-first ve sorgu odaklı bir API katmanıdır. Tek bir endpoint (genellikle /graphql) üzerinden istemcinin tam ihtiyaç duyduğu alanları tek istekte çekmesini sağlar. Apollo State of GraphQL 2025 raporu kurumsal GraphQL kullanıcılarının REST’e kıyasla mobil ekran başına %38-42 bandında daha az veri transferi, %29 daha az roundtrip ve %35 daha yüksek geliştirici verimliliği raporladığını belirtiyor. Bu rakam özellikle çoklu istemci (web + iOS + Android + üçüncü taraf) destekleyen ürünlerde belirginleşiyor.
2026’da GraphQL ekosisteminde Apollo Server 5, Hasura DDN, GraphQL Yoga ve Mercurius en yaygın sunucu seçenekleri olarak öne çıkıyor. Federation 2 mimarisi sayesinde her domain ekibi kendi subgraph’ini bağımsız geliştirebilir, gateway tek bir supergraph altında bunları birleştirir. Bu yaklaşım mikroservis mimarisine geçiş stratejisi ile birebir uyumludur; her servis kendi sınırına sahip kalır, istemci tek API arayüzü görür.
| Kriter | REST + OpenAPI 3.1 | GraphQL + Federation 2 | gRPC + Protobuf | Webhook (Event Push) |
|---|---|---|---|---|
| Yönelim | Kaynak (resource) | Sorgu (query) | Prosedür (RPC) | Olay (event) |
| Veri transfer verimi | Orta (%100 baseline) | Yüksek (%60-65 transfer) | Çok yüksek (binary, %30-40) | En verimli (push, polling yok) |
| p95 latency (intra-DC) | 40-80 ms | 50-110 ms | 5-25 ms | Asenkron, ölçülmez |
| Cache stratejisi | HTTP cache yüksek | Apollo / Relay client cache | İstemci tarafı manuel | İlgisiz |
| Versionlama | Path/header (v1, v2) | Schema deprecation | Proto package versiyon | Event schema versiyon |
| Öğrenme eğrisi | Düşük | Orta-yüksek | Yüksek (proto, codegen) | Düşük |
| Tooling olgunluğu | Çok yüksek | Yüksek | Orta-yüksek | Yüksek |
| Browser desteği | Doğal | Doğal | gRPC-Web gerektirir | Receiver endpoint |
gRPC ve Protobuf: Düşük Latency, Yüksek Verim Mikroservisler İçin
gRPC, Google’ın 2015’te açık kaynak yaptığı HTTP/2 tabanlı RPC framework’üdür. Protobuf binary serialization sayesinde JSON’a kıyasla %30-40 bandında daha küçük payload ve 3-5 kat daha hızlı serialize/deserialize sağlar. CNCF 2025 Annual Survey raporu kurumsal mikroservis ekiplerinin %48’inin servis içi iletişimde gRPC kullandığını, %71’inin Kubernetes üstünde service mesh ile birlikte konuşlandırdığını gösteriyor. gRPC’nin asıl gücü intra-cluster servis-servis iletişiminde ortaya çıkar; aynı veri merkezinde p95 latency 5-25 ms bandına iner. Event-driven mimari Apache Kafka rehberi ile birlikte değerlendirildiğinde, senkron RPC çağrıları (gRPC) ve asenkron event akışı (Kafka) modern mikroservis mimarisinin iki sütununu oluşturur.
- HTTP/2 multiplexing: Tek TCP connection üzerinden 100+ paralel istek, head-of-line blocking yok.
- Protobuf schema: Strong typing, geriye dönük uyumlu alan ekleme (reserved fields), otomatik codegen 11+ dilde.
- Streaming desteği: Unary, server-streaming, client-streaming ve bidirectional streaming dört mod ayrı ayrı.
- Deadline propagation: Çağrıyı yapan istemci timeout’u zinciri boyunca taşır, kaskad timeout sorunu azalır.
- Yetersiz tarafı: Browser direkt desteklemez (gRPC-Web proxy gerekir), insan tarafından okunamayan binary format debugging’i zorlaştırır.
Webhook Mimarisi: HMAC İmzalama, Idempotency ve Dead-Letter Queue
Webhook, sunucudan istemciye HTTP POST ile olay iletme paradigmasıdır. Polling’in tersine, istemci sürekli “yeni veri var mı?” diye sormak yerine sunucu olay olduğunda otomatik HTTP isteği gönderir. Stripe, GitHub, Shopify, Twilio, Slack ve HubSpot dahil pek çok platform bu modeli zorunlu kılıyor. 2026’da SaaS entegrasyonlarının %47’si webhook tabanlı; Cloudflare 2025 verisinde polling’e göre %85-90 bandında daha düşük altyapı maliyeti raporlanıyor. 1 dakikada bir polling yapan 10.000 istemci ayda 432 milyon API çağrısı yaratırken, webhook eşdeğeri aynı senaryo için ayda yalnızca 8-12 milyon olay üretir.
Webhook güvenliği üç temel katmana dayanır. Birincisi HMAC SHA-256 imzalı header (X-Signature, Stripe-Signature gibi) ile origin doğrulama; gönderici taraf payload + shared secret üzerinden imza üretir, alıcı taraf aynı hesabı tekrarlayıp eşleşmeyi doğrular. İkincisi timestamp + nonce kombinasyonu ile replay saldırılarına karşı koruma; alıcı endpoint 5 dakikadan eski timestamp’leri reddeder. Üçüncüsü idempotency-key kontrolü; aynı event ID iki kez geldiğinde alıcı tek seferlik işlem garantisi verir. API Güvenliği OWASP API Top 10 2026 rehberi webhook signature verification’ı API3:2026 (Broken Object Property Authorization) kategorisinde detaylandırıyor.
- HMAC SHA-256: Shared secret + payload imzası, header üzerinden taşınır, alıcıda doğrulanır.
- Timestamp window: 300 saniye (5 dakika) standart kabul; eski istekler 401 ile reddedilir.
- Idempotency-Key: UUID v7 veya event-ID; alıcı tarafta Redis SETNX veya DB unique constraint ile tek işlem garantisi.
- Receiver SLA: Stripe 5 saniye, GitHub 10 saniye yanıt bekler; 2xx alamazsa exponential backoff retry zinciri başlatır.
- Dead-letter queue (DLQ): 3 günlük retry sonunda hâlâ başarısız event’ler SQS / RabbitMQ DLQ kuyruğuna düşer, manuel inceleme sırasına girer.
- IP allowlist: Sağlayıcı sabit IP havuzu yayımlıyorsa firewall katmanında allowlist devreye alınır.
WebSocket ve Server-Sent Events: Gerçek Zamanlı İletişim Katmanı
Gerçek zamanlı senaryolar (chat, dashboard, IoT telemetry, canlı skor) için iki temel protokol vardır. WebSocket (RFC 6455) tam çift yönlü, TCP üstünde uzun ömürlü bağlantı sağlar; chat, multiplayer oyun ve collaborative editing senaryolarında dominant tercihtir. Server-Sent Events (SSE) ise sunucudan istemciye tek yönlü, HTTP üzerinden text/event-stream MIME type ile yayın yapar; dashboard güncellemeleri, log akışı ve notification push için WebSocket’ten daha sade ve HTTP cache/proxy uyumludur.
2026’da Cloudflare Workers, Vercel Edge ve AWS API Gateway WebSocket protokolünü first-class olarak destekliyor. Pratik karar şu: çift yönlü gerçek zamanlı veri akışı şart mı? Eğer evet, WebSocket. Sadece sunucudan istemciye stream yetiyorsa, SSE daha basit ve HTTP/2 multiplexing ile aynı bağlantı üzerinde diğer REST çağrılarıyla paylaşılabilir. LLM streaming yanıtları (ChatGPT, Claude, Gemini) tipik olarak SSE üzerinden token-by-token akışla sunulur; bu pattern kurumsal yapay zeka entegrasyonu pillar rehberinde detaylandırılan stream-first AI mimarisinin temelidir.
| Senaryo | Önerilen Protokol | Tipik Latency | Bağlantı Modeli | Tipik Ürün |
|---|---|---|---|---|
| Chat / messaging | WebSocket | 50-150 ms | Çift yönlü, uzun ömürlü | Slack, WhatsApp Web |
| Live dashboard | SSE veya WebSocket | 200-500 ms | Tek yönlü stream | Grafana Live, Datadog |
| LLM token streaming | SSE (text/event-stream) | İlk token ~300 ms | Tek yönlü stream | ChatGPT, Claude |
| IoT telemetry | MQTT veya WebSocket | Saniye altı | Çift yönlü pub/sub | AWS IoT Core |
| Bildirim push | WebSocket veya SSE | ~1 sn | Tek yönlü | Notification servisleri |
| Asenkron olay (3. parti) | Webhook (HTTP POST) | Saniyeler | Tek seferlik istek | Stripe, GitHub |
API Gateway Katmanı: Kong, Tyk, AWS API Gateway, Apigee Karşılaştırması
API gateway, tüm dış trafiği tek noktada terminate eden, authentication, rate limiting, caching, request transformation ve observability sorumluluğunu üstlenen kritik altyapı katmanıdır. 2026’da kurumsal mimaride dört oyuncu öne çıkıyor: Kong (açık kaynak + Konnect enterprise), Tyk (açık kaynak + cloud), AWS API Gateway (AWS native), Apigee (Google Cloud, kurumsal düzey). Postman raporu, kurumsal API’lerin %62’sinin gateway katmanı arkasından geçtiğini, gateway kullanan ekiplerin ortalama %34 daha az production incident raporladığını belirtiyor.
| Gateway | Tipik Maliyet (aylık) | Throughput (req/s) | Plugin Ekosistemi | Tipik Senaryo |
|---|---|---|---|---|
| Kong OSS (self-hosted) | Altyapı maliyeti (~300-800 USD) | 50.000+ | 200+ plugin (Lua/Go) | Hibrit bulut, açık kaynak tercihi |
| Kong Konnect (managed) | 1.500-4.000 USD | 50.000+ | Aynı + enterprise SSO | Kurumsal, SLA ihtiyacı |
| Tyk Cloud | 500-3.000 USD | 10.000-30.000 | Orta (JS plugin) | Orta ölçekli SaaS |
| AWS API Gateway | 3,50 USD / 1M çağrı (REST) | 10.000 (default) | Lambda authorizer | AWS-native serverless |
| Apigee X | 5.000+ USD | 10.000-100.000 | JS/Java/Python policies | Büyük kurumsal, monetization |
Authentication ve Authorization: OAuth 2.1, JWT, API Key, mTLS
API authentication katmanında 2026 standartları net biçimde ayrışmış durumda. Public API’ler için OAuth 2.1 (RFC 9700 ailesi) artık fiili standart; Authorization Code Flow + PKCE web ve mobil istemciler için zorunlu pattern. Client Credentials Flow makine-makine (M2M) entegrasyonları için uygundur; Implicit Flow ve Resource Owner Password Credentials Flow OAuth 2.1’de tamamen kaldırıldı. Auth0 2025 Identity Survey kurumsal API’lerin %68’inin OAuth 2.1 + JWT bearer token, %19’unun statik API key, %8’inin mTLS ve %5’inin diğer şemaları kullandığını belirtiyor.
JWT token’lar 15 dakika ile 1 saat arası kısa ömürlü tutulmalı; refresh token rotation pattern’i replay riskini azaltır. mTLS (mutual TLS) ise bankacılık, sigorta ve sağlık sektöründe servis-servis kimlik doğrulama için tercih edilir; her iki taraf da X.509 sertifikası sunar. Open Banking (PSD2) regulasyonları mTLS’i zorunlu kılar. API key tek başına yetersizdir; mutlaka rate limiting, IP allowlist ve rotation politikası ile birlikte konuşlandırılmalıdır.
- OAuth 2.1 Authorization Code + PKCE: Web ve mobil istemciler için tek doğru pattern.
- Client Credentials Flow: Makine-makine, scheduled job ve backend entegrasyonları.
- JWT bearer token: 15-60 dk ömür, refresh token rotation, JTI ile revocation listesi.
- mTLS: B2B, regülasyona tabi sektörler (banka, sigorta, sağlık), Open Banking PSD2.
- API key: Yalnızca dahili veya düşük riskli senaryo; rate limit + IP allowlist + rotation şart.
- DPoP (RFC 9449): Token binding ile çalınan token’ın saldırgan tarafından kullanımı engellenir.
Rate Limiting, Caching, Versioning Stratejileri
Rate limiting üç algoritma üzerinden uygulanır: token bucket (Stripe, AWS), sliding window (Cloudflare), fixed window (basit ama spike riski yüksek). Tipik kurumsal kotalar: anonim istemci 60 req/dk, authenticated kullanıcı 600 req/dk, premium tier 6.000 req/dk. 429 Too Many Requests yanıtı ile Retry-After header birlikte döndürülmeli; istemci SDK’ları exponential backoff ile bu header’ı kullanmalı. Cloudflare 2025 raporuna göre rate limiting devreye alan ekipler scraping ve credential stuffing kaynaklı maliyetlerini ortalama %63 azaltıyor.
Caching stratejisi REST için HTTP cache headers (Cache-Control, ETag, Last-Modified) ile CDN katmanında çözülür; GraphQL için Apollo client cache + Persisted Queries + CDN-friendly POST→GET dönüşümü uygulanır. Versioning tarafında üç yaygın yaklaşım var: URI versioning (/v1/, /v2/), header versioning (Accept: application/vnd.api+json;v=2) ve query parameter (?version=2). URI versioning en yaygın ve cache-friendly olan; header versioning hipermedya saflığı isteyen ekipler için tercih edilir. Hangi yaklaşım seçilirse seçilsin breaking change için minimum 6 ay deprecation window ve Sunset header (RFC 8594) standartı önerilir.
Dokümantasyon, Testing ve Contract Testing
API dokümantasyonu 2026’da artık statik bir PDF değil, etkileşimli developer experience yatırımı. Swagger UI, Redoc ve Stoplight Elements OpenAPI 3.1 şemasından otomatik üretiliyor; “try it” özelliği ile geliştirici tarayıcıdan canlı endpoint deneyebiliyor. Postman 2025 raporuna göre interaktif dokümantasyon sunan API’lerin time-to-first-call süresi (geliştiricinin ilk başarılı çağrıya kadar geçen süre) ortalama 8 dakika; sadece PDF veya markdown sunanlarda 47 dakika. Bu fark developer adoption rate’ini doğrudan etkiliyor.
| Test Türü | Araç | Amaç | Tipik Pipeline Aşaması |
|---|---|---|---|
| Manual / explorative | Postman, Insomnia, Bruno | Endpoint denemesi, tek seferlik debug | Geliştirme |
| Otomatik koleksiyon | Newman, Postman CLI | CI’de regression suite | CI build |
| Contract testing | Pact, Spring Cloud Contract | Producer-consumer sözleşme uyumu | CI, deploy gate |
| Schema validation | OpenAPI Validator, Spectral | OpenAPI 3.1 lint ve breaking change | PR check |
| Load testing | k6, Locust, Artillery | p95/p99 latency, throughput | Staging |
| Security testing | OWASP ZAP, Burp Suite | OWASP API Top 10 taraması | Staging, prod öncesi |
Contract testing özellikle mikroservis mimarisinde kritik. Producer ve consumer ekipleri Pact üzerinden sözleşme dosyaları (pact files) üreterek breaking change’leri deploy öncesi yakalar. Bu pattern, monolitik test ortamlarına olan bağımlılığı azaltır ve her ekibin bağımsız deploy etmesine olanak verir. Schema-driven test pipeline kurumsal API ekiplerinin %58’inde mevcut; %42’si hâlâ manuel regression ile yönetiyor ve production incident oranı 2,3 kat daha yüksek.
Maliyet, Performans ve ROI: Karar Matrisi
Datadog 2025 State of Cloud raporu, GraphQL’in N+1 query sorunu DataLoader ile çözülmediğinde aynı yük için REST’e göre %35 daha yüksek backend CPU tüketimine yol açtığını ortaya koyuyor. Aynı raporda gRPC mikroservis çağrıları REST + JSON’a kıyasla aynı throughput için ortalama %42 daha az CPU ve %38 daha az bandwidth tüketiyor. Webhook tarafı ise polling’e kıyasla 8-12 kat daha az API çağrısı yaratıyor; kurumsal entegrasyon altyapısında aylık 4.000-9.000 USD bandında doğrudan tasarruf.
- Veri yoğun, çoklu istemci tipi (web + mobil + iş ortakları) → GraphQL + Federation 2.
- Sade CRUD, yüksek cache hit oranı, açık ekosistem ihtiyacı → REST + OpenAPI 3.1.
- Servis-servis intra-cluster, düşük latency ve yüksek throughput → gRPC + Protobuf.
- Asenkron olay bildirimi, üçüncü taraf entegrasyon → Webhook + HMAC + DLQ.
- Gerçek zamanlı çift yönlü → WebSocket; tek yönlü stream → SSE.
- Hibrit (tipik kurumsal): Read tarafı GraphQL, write + entegrasyon REST, intra-cluster gRPC, dış olay Webhook.
Kurumsal API Entegrasyon Projelerinde Karşılaşılan Tipik Sorunlar
Sahada gözlemlenen ve maliyetli sonuçlar doğuran problemleri tek tek ele almak gerekiyor. Birinci sorun “tek protokole zorlama” hatası. Bir ekip her ihtiyaca GraphQL ya da her ihtiyaca REST uydurmaya çalıştığında teknik borç birikiyor; doğru yaklaşım her senaryoya doğru protokolü atayan hibrit mimari. Postman 2025 verisi, hibrit mimari benimseyen ekiplerin tek protokol kullananlara göre %29 daha düşük production incident oranı raporladığını gösteriyor.
İkinci sorun GraphQL’de N+1 query patlaması. Resolver’lar her alan için ayrı veritabanı çağrısı yaptığında 1 listeleme + 100 detay = 101 sorgu sonucu ortaya çıkıyor. Çözüm: DataLoader ile batching + caching. Üçüncü sorun webhook receiver endpoint’inin idempotent olmaması. Stripe aynı event’i ağ kesintisi sonrası tekrar gönderiyor; receiver bunu iki kez işleyince çift ödeme, çift mail, çift sipariş oluşuyor. Çözüm: Redis SETNX veya DB unique constraint ile event-ID kontrolü. Dördüncü sorun OAuth implementasyonunda PKCE eksikliği; hâlâ mobil uygulamaların %31’i Authorization Code Flow’u PKCE olmadan uyguluyor (Auth0 2025), bu da authorization code interception saldırısına açık kapı bırakıyor. OAuth 2.1 ve OpenID Connect modern kimlik doğrulama rehberi bu pattern’ı detaylandırıyor.
Beşinci sorun rate limiting’in yalnızca IP bazlı kurulması. Sağlayıcı tek IP arkasından gelen tüm trafiği aynı kovayla sınırladığında kurumsal müşteri NAT arkasındaki 200 kullanıcı bir kullanıcı sanılıyor. Doğru yaklaşım: tier hierarchy (anonim < authenticated < tenant < user). Altıncı sorun versionlama planının olmaması; breaking change üretim öncesi haber verilmeden devreye alındığında istemci entegrasyonları toplu olarak kırılıyor. Sunset header (RFC 8594), changelog ve 6 aylık deprecation window minimum standardı. Yedinci sorun observability eksikliği; istek-yanıt çiftleri trace edilmediğinde 502/504 incident'larının root cause analizi günler sürüyor. Distributed tracing (OpenTelemetry) ve correlation-ID header'ı her API katmanında zorunlu olmalı.
12 Aylık API Entegrasyon Yol Haritası
Olgun bir API entegrasyon stratejisi tek bir sprint’te kurulmaz; aşamalı bir yatırım gerektirir. Aşağıdaki yol haritası kurumsal ekiplerin saha gözlemine dayanır ve ortalama 9-12 ay sürer.
- Ay 1-2: API inventory ve mevcut entegrasyonları envanterle (Postman / Stoplight); kritik sözleşmeleri OpenAPI 3.1 şemasına dönüştür.
- Ay 2-3: Tek bir gateway katmanı seç (Kong, Tyk, AWS API Gateway veya Apigee), tüm trafiği gateway arkasına al.
- Ay 3-4: OAuth 2.1 + PKCE migration’ı başlat, eski API key kullanan istemcilere 6 ay deprecation bildir.
- Ay 4-6: Rate limiting tier hierarchy’sini devreye al, 429 + Retry-After + tenant bazlı kota yönet.
- Ay 5-7: GraphQL gateway veya BFF (Backend-for-Frontend) katmanını çoklu istemci ihtiyacı varsa devreye al.
- Ay 6-8: Webhook giden olay altyapısını HMAC + idempotency + DLQ üçlüsüyle kur.
- Ay 7-9: Contract testing (Pact) ve schema validation (Spectral) CI pipeline’ına entegre et.
- Ay 8-10: Distributed tracing (OpenTelemetry), correlation-ID ve API analytics dashboard’larını kur.
- Ay 9-12: Developer portal (Stoplight, Redocly veya Konnect Portal) ile dış geliştirici deneyimini olgunlaştır.
Sık Sorulan Sorular
REST mi GraphQL mi seçmeliyim?
Tek istemci tipiniz varsa ve veri ihtiyacı stabilse REST + OpenAPI 3.1 yeterli; cache stratejiniz CDN ağırlıklıysa REST hâlâ en iyi performansı verir. Web, mobil ve dış paydaşların farklı veri ihtiyaçları varsa GraphQL geliştirici verimliliğini %35-40 bandında artırır, mobil veri transferini %38-42 azaltır. Apollo Federation 2 veya Hasura DDN ile mikroservis ağı tek schema arkasına alınabilir. Hibrit yaklaşım da geçerli: write + entegrasyon REST, read tarafı GraphQL.
Webhook güvenliği nasıl sağlanır?
Üç katman zorunludur: birincisi HMAC SHA-256 imzalı header (X-Signature) ile origin doğrulama; gönderici shared secret ile imza üretir, alıcı aynı hesabı doğrular. İkincisi timestamp + nonce kontrolü ile replay engelleme; alıcı 300 saniyeden eski istekleri 401 ile reddeder. Üçüncüsü idempotency-key ile çift işleme önleme; Redis SETNX veya DB unique constraint ile event-ID kontrolü. IP allowlist sağlayıcı destekliyorsa firewall katmanında ek koruma sağlar. Receiver 5xx döndüğünde Stripe tarzı 3 günlük exponential backoff retry zinciri devreye girer; nihai başarısızlık dead-letter queue’ya düşer.
GraphQL üretimde gerçekten ölçeklenir mi?
Evet, ancak doğru tooling şart. DataLoader ile N+1 query patlaması çözülmeli, query complexity analysis (Apollo, GraphQL Armor) ile DoS önlenmeli, persisted queries ile public schema gizlenmeli ve rate limiting tier bazlı uygulanmalı. Netflix, GitHub, Shopify, Twitch ve Airbnb milyarlarca request/gün hacimde GraphQL kullanıyor. Hatalı kurulumda CPU maliyeti REST’in 1,35-1,5 katına çıkabilir; doğru kurulumda data transfer tasarrufu ve geliştirici verimliliği net pozitif geri dönüş üretir. Apollo Federation 2 ile her domain ekibi bağımsız subgraph deploy ederek mikroservis sınırlarını koruyabilir.
Webhook ile polling arasındaki maliyet farkı nedir?
1 dakikada bir polling yapan 10.000 istemci ayda 432 milyon API çağrısı yaratıyor; webhook’a geçildiğinde sadece gerçek event’ler için trafik akıyor, ortalama 8-12 milyon olay sayısına iniyor. Bu da %85-90 daha düşük altyapı maliyeti anlamına geliyor. Cloudflare 2025 verilerinde webhook tabanlı entegrasyonların aylık altyapı maliyeti polling’in yaklaşık 12’de 1’i kadar; orta ölçekli SaaS için aylık 4.000-9.000 USD doğrudan tasarruf. Polling sadece sağlayıcı webhook desteklemediğinde veya event sequence’ı kritikse (sıralı işleme garantisi) tercih edilmeli.
gRPC ne zaman REST’in yerine geçer?
gRPC asıl gücünü intra-cluster servis-servis iletişiminde gösterir; aynı veri merkezinde p95 latency 5-25 ms bandına iner, REST + JSON’a göre %42 daha az CPU ve %38 daha az bandwidth tüketir. Mikroservis mimarisinde her servis arasındaki dahili çağrılar için gRPC ideal. Public API olarak tarayıcıdan tüketilecek endpoint’lerde gRPC-Web proxy gerekir; bu pratikte ek karmaşıklık doğurur. Pratik tavsiye: intra-cluster gRPC + Protobuf, dış istemci için REST + OpenAPI veya GraphQL gateway. Bu hibrit yaklaşım hem performans hem geliştirici deneyimi açısından en yüksek değeri üretir.
Sonuç
API entegrasyon stratejisi 2026’da tek protokol kararı değil, beş protokolün (REST, GraphQL, gRPC, Webhook, WebSocket/SSE) doğru oranda harmanlanması ve uygun bir gateway, authentication, rate limiting, observability ve testing katmanıyla bütüncül bir mimari hâline getirilmesi meselesi. REST’in olgunluğu ve cache uyumu, GraphQL’in istemci esnekliği, gRPC’nin düşük latency’si, Webhook’un asenkron verimliliği ve WebSocket/SSE’nin gerçek zamanlı katmanı bir araya geldiğinde modern bir kurumsal ürünün entegrasyon mimarisi tamamlanır. Bu rehberdeki karar matrisi, sayısal benchmark’lar ve 9 adımlı 12 aylık yol haritası ile API ile ilgili altyapı kaynaklarınızın %28-34 bandında bir kısmını geri kazanabilir, geliştirici verimliliğini %35-40 artırabilir ve production incident oranınızı %29-34 düşürebilirsiniz. Karar yalnızca teknolojinin değil, ürün, ekip ve maliyet hedeflerinin ortak optimizasyonudur; doğru protokolü doğru senaryoya bağlamak rekabet avantajının en hızlı şekilde inşa edildiği yerdir.
Kaynaklar: OpenAPI 3.1 Specification | GraphQL Official Docs | gRPC Docs | Postman State of the API Report 2025 | OAuth 2.1 Specification | Cloudflare Application Services 2025 | Stack Overflow Developer Survey 2025
Ömer ÖNAL
Mayıs 15, 2026Yazılım geliştirme projelerinde sıkça gözlemlediğim: kod kalitesi metrikleri (cyclomatic complexity, test coverage) baseline’ı belirlenmeden refactoring kararı veriliyor. Bu yaklaşım %40’ı aşan rework oranıyla sonuçlanıyor. Static analysis araçlarını CI pipeline’a entegre etmek ilk adım. Yorumlarınız?